Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Múltiples vulnerabilidades en Moodle

Fecha de publicación 18/10/2023
Identificador

INCIBE-2023-0450

Importancia
4 - Alta
Recursos Afectados

Las siguientes versiones de Moodle se ven afectadas:

  • desde 4.2 hasta 4.2.2,
  • desde 4.1 hasta 4.1.5,
  • desde 4.0 hasta 4.0.10,
  • desde 3.11 hasta 3.11.16,
  • desde 3.9 hasta 3.9.23
  • versiones anteriores sin soporte.
Descripción

Varios investigadores han reportado 4 vulnerabilidades de severidad alta y varias bajas que se pueden consultar en la web de avisos de Moodle.

Solución

Actualizar a las versiones 4.2.3, 4.1.6, 4.0.11, 3.11.17 y 3.9.24.

Detalle

Las vulnerabilidades de severidad alta se describen a continuación:

  • Ejecución remota de código en la actividad Lesson, que por defecto solo estaba disponible para profesores y gestores. Se ha asignado el identificador CVE-2023-5539.
  • Ejecución remota de código en la actividad IMSCP, que por defecto solo estaba disponible para profesores y gestores. Se ha asignado el identificador CVE-2023-5540.
  • Los comentarios de la wiki requerían un saneamiento adicional y restricciones de acceso para prevenir posibles vulnerabilidades de XSS almacenado e IDOR. Se ha asignado el identificador CVE-2023-5544.
  • En un entorno de alojamiento compartido que ha sido mal configurado para permitir el acceso al contenido de otros usuarios, un usuario de Moodle que también tiene acceso directo al servidor web fuera de la raíz, podría utilizar un archivo local para lograr la ejecución remota de código. Se ha asignado el identificador CVE-2023-5550.